[WARNING] 또야주의

(누군가 나의 눈물에 절은 후기를 봐줄 수 있다면...ㅠㅠ 하는 마음으로 적는다.) ⬛ 개요 Wazuh Cluster를 VMWare에 구축한 후기이다. 앞서 나의 클러스터 구축 구조는 간단하게 아래와 같이, 마스터 노드 1대에 워커 노드 2대, 인덱서 1대, 대시보드 1대, 나머지 에이전트 N대와 같이 구성했다고 했다. ⬛ VMware 구축 난이도 아무래도 도커에 구축하는 것보다는 번거로웠을 것 같고, GCP에 구축하는 것보다는 쉬웠을 것 같다. (클라우드에 대한 지식이 많지 않다면..) Bridge, NAT 등의 VMware 네트워크 구성 관련 글이 많아 그나마 할만했다. 다음엔 그나마 신문물인 도커에도 가꿔볼 예정이다. ⬛ 좋은 경험이었다..⭐ 규모가 이렇게 큰 오픈소스 플랫폼을 처음 설치하고 설정해..

🟪 개요 Wazuh Cluster 구축 - 1. Wazuh 서버 설치(apt 저장소, Wazuh 패키지) 🟥 작성 동기 회사에서 오픈소스 플랫폼인 Wazuh를 활용해 SIEM을 구축하였는데, 직접 설치는 하지 않아서 해당 버전에 어떤 설치 과정과 설정이 필요한지 머리로 그려지지 않았다. 프로젝트는 운 likethefirst.tistory.com 위 과정에서 여러 서버에 wazuh-manager 패키지를 설치한 경우 아래와 같이 Wazuh가 서버 노드별로 master인지 worker인지 인식할 수 있도록 추가 작업이 필요하다. worker들의 master가 누구인지 지정하는 과정도 포함되어 있는데, 이는 master worker간 자동 파일 배포가 이루어질 때 필요하기도 하다. (누가 왕인지 모르면 일개미..

🟦 dashboard 설치 및 설정 1. 필요 유틸리티 설치 soya@wazuh-dashboard-node:~# apt-get install debhelper tar curl libcap2-bin #debhelper version 9 or later debhelper: Debian 패키지 빌드 시 자주 사용되는 여러 유틸리티 및 스크립트가 포함 tar: 소스 코드 아카이브를 압축해 특정 디렉터리로 풀거나 배포 파일을 압축 해제할 때 사용 curl: 명령 줄에서 URL을 통해 데이터를 전송하고 받을 수 있는 도구, 주로 네트워크 작업을 수행할 때 사용 libcap2-bin: 특정 권한이 필요한 경우, 이 라이브러리를 사용하여 권한 설정 가능 2. Wazuh 공개키 및 저장소 설정 😼 Wazuh 서버 또는 ..

🟩 Filebeat란? 데이터 수집만을 위한 경량화된 모듈 원래 ELK 스택 중 하나인 logstash를 데이터 집계 및 보관, 전송에 사용했으나 위 기능 외에도 원하는 형태로 입출력을 담당해 오버헤드(특정 기능을 수행하기 위해 추가로 사용되는 컴퓨터 자원)가 컸음 이를 해결하기 위해 Wazuh에서는 Filebeat를 사용하도록 가이드되고 있음. 아래 내용(1번~마지막까지) 모두 Master, Worker 노드마다 모두 수행해야 한다. 🟩 Filebeat 설치 및 설정 1. Filebeat 설치 Filebeat 설치 후에는 /etc/filebeat 경로가 생성된다. soya@wazuh-master-node:~# apt-get -y install filebeat 2. Filebeat config 파일 다운..

🟨 Wazuh indexer란? Elasticsearch 데이터베이스를 이용하여 이벤트 데이터를 저장하고 쿼리할 수 있는 기능을 제공 보안 이벤트를 효과적으로 수집, 저장, 분석하고 대응할 수 있도록 함 🟨 Wazuh indexer 설치 및 설정 1. 공개키 및 저장소 설정 하지 않았다면 노드별로 수행해야 한다고 하였다. soya@wazuh-indexer-node:~# apt-get install gnupg apt-transport-https soya@wazuh-indexer-node:~# curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/..